IP-adresbeperking voor Snowflake-serviceaccounts
Gegevensbeveiliging is essentieel. Je instelling kan Snowflake-serviceaccounts toegang verlenen of beperken tot specifieke IP-adressen. Dit vermindert het risico van onbevoegde toegang tot gevoelige gegevens.
Je kunt een bepaald IP-adres of een bereik van IP-adressen toestaan en beperken.
Met een beperkt IP-adres hebben gebruikers geen toegang tot een Snowflake-serviceaccount en kunnen ze het wachtwoord van een Snowflake serviceaccount niet wijzigen.
Op deze Help-pagina vind je de volgende onderwerpen:
- Wat is een Snowflake-serviceaccount?
- Een IP-adresbeperking configureren
- De configuratie van je IP-adresbeperking controleren
- Het wachtwoord van een Snowflake-serviceaccount wijzigen als er een IP-adresbeperking opgetreden is
Wat is een Snowflake-serviceaccount?
Er zijn twee manieren om je aan te melden bij Snowflake.
- Meld je aan met een gebruikersnaam en wachtwoord: deze worden Illuminate-serviceaccounts genoemd en zijn handig voor M2M (machine-to-machine)-verbindingen. IP-adresbeperkingen zijn alleen van toepassing op serviceaccounts. Op dit moment is er slechts 1 serviceaccount beschikbaar in Illuminate, genaamd SVC_BLACKBOARD_DATA.
- Aanmelden met SSO: Snowflake beschikt over je Illuminate-inloggegevens om je aan te melden. Als je een IP-beperking wilt configureren, moet je je aanmelden via SSO en de BBDATA_USER_ROLE-rol hebben. IP-adresbeperking geldt niet voor gebruikers die zich aanmelden met SSO.
Een IP-adresbeperking configureren
Een IP-adresbeperking configureren:
- Meld je aan bij Illuminate als gebruiker met de ontwikkelaarsrol.
- Open het zijpaneel en selecteer de optie Ontwikkelaar.
- Selecteer Snowflake starten.
- Selecteer Aanmelden met SSO.
- Als je een IP-beperking wilt configureren, moet je je aanmelden via SSO. Als je Snowflake gebruikt met een serviceaccount, kunnen IP-beperkingen niet worden toegepast.
- Je Snowflake-gebruiker moet beschikken over een BBDATA_USER_ROLE.
- Open het zijpaneel in Snowflake en selecteer Werkbladen.
- Selecteer Een nieuw werkblad aanmaken.
- Je kunt kiezen tussen SQL- en Python-werkbladen. In dit voorbeeld hebben we SQL-werkblad geselecteerd.
- Je kunt deze query als basis gebruiken. Met deze voorbeeldquery is een specifiek IP-adres toegestaan (1.1.1.1) en wordt een bereik van IP-adressen beperkt (van 192.168.1.0 tot 192.168.1.255) voor een serviceaccount met de naam SVC_BLACKBOARD_DATA.
ROLE BBDATA_USER_ROLE GEBRUIKEN;
NETWERKBELEID NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1') WIJZIGEN;
NETWERKBELEID NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24') WIJZIGEN;
Uitleg van opdracht
- GEBRUIKERSROL. De rol die de machtiging heeft om het netwerkbeleid voor IP-beperkingen te wijzigen.
- BBDATA_USER_ROLE is de enige rol die IP-adresbeperkingen kan wijzigen.
- NETWERKBELEID WIJZIGEN. De opdracht die een bestaand netwerkbeleid bijwerkt. Dit beleid is eerder gemaakt door het team van Illuminate om de configuratie van IP-adresbeperkingen mogelijk te maken.
- NP_ SVC_BLACKBOARD_DATA. Identificeert het netwerkbeleid van het serviceaccount waarvoor een IP-adresbeperking geldt. Netwerkbeleid begint altijd met het voorvoegsel 'NP', gevolgd door de gebruikersnaam van het serviceaccount. Het enige beschikbare serviceaccount is SVC_BLACKBOARD_DATA.
- SET_ALLOWED_ID_LIST. Opdracht waarmee de lijst met IP-adressen wordt opgegeven die zijn toegestaan voor je Snowflake-tenant via een serviceaccount.
- SET_BLOCKED_ID_LIST. Opdracht waarmee de lijst met IP-adressen wordt opgegeven die zijn beperkt voor je Snowflake-tenant via een serviceaccount.
Volg deze notatie om de gewenste IP-adressen op te nemen:
- Eén IP-adres: schrijf het IP-adres tussen haakjes en tussen enkele aanhalingstekens. ('1.1.1.1')
- Meerdere IP-adressen: schrijf alle IP-adressen tussen één set haakjes. Schrijf elk IP-adres tussen enkele aanhalingstekens en scheid elk IP-adres met een komma. ( '1.1.1.1','2.2.2.2','3.3.3.3')
- Bereik van IP-adressen: gebruik het /-teken aan het einde van een IP-adres om het bereik aan te geven. In dit voorbeeld zijn alle IP-adressen binnen het bereik van 192.168.1.0 tot 192.168.1.255. ('192.168.1.0/24') toegestaan
De configuratie van je IP-adresbeperking controleren
Als je de configuratie van je IP-adresbeperking wilt controleren, kun je de volgende opdrachten gebruiken:
- Open net als eerder het zijpaneel in Snowflake en selecteer Werkbladen.
- Selecteer Een nieuw werkblad maken. Je kunt kiezen tussen SQL- en Python-werkbladen. In dit voorbeeld hebben we SQL-werkblad geselecteerd.
- Voer de volgende query uit.
BESCHRIJF NETWERKBELEID NP_SVC_BLACKBOARD_DATA;
- In de sectie Resultaten vind je de lijst met toegestane en geblokkeerde IP-adressen.
- Je kunt ook de volgende query uitvoeren.
NETWERKBELEID WEERGEVEN;
- In de sectie Resultaten vind je het beschikbare netwerkbeleid en het aantal vermeldingen in de lijst met toegestane IP-adressen en de lijst met geblokkeerde IP-adressen.
Het wachtwoord van een Snowflake-serviceaccount wijzigen als er een IP-adresbeperking opgetreden is
Het wachtwoord van een serviceaccount kan alleen worden gewijzigd op een computer die geen beperkt IP-adres heeft of die is opgenomen in de lijst met toegestane IP-adressen.
Dit komt omdat het wachtwoord van het serviceaccount wordt gereset in Snowflake, waar IP-adresbeperkingen van toepassing zijn.
- Om een Illuminate-gebruiker toestemming te geven om het wachtwoord van een Snowflake-serviceaccount te wijzigen, kan de lijst met IP-adressen tijdelijk worden aangepast zodat het IP-adres van de gebruikerscomputer wordt opgenomen in de lijst met toegestane IP-adressen.
- Nadat de Illuminate-gebruiker het wachtwoord van het serviceaccount heeft gewijzigd, kan het IP-adres van de gebruikerscomputer weer van de toegestane lijst worden verwijderd.
Je kunt het wachtwoord voor een Snowflake-serviceaccount als volgt wijzigen:
- Meld je aan bij Illuminate als gebruiker met de ontwikkelaarsrol.
- Open het zijpaneel en selecteer Ontwikkelaar.
- Selecteer Instellingen.
- Selecteer het tabblad Snowflake-accountinstellingen.
- Zoek in de lijst Serviceaccount het SVC_BLACKBOARD_DATA-serviceaccount. Dat is het enige Snowflake-serviceaccount dat beschikbaar is in Illuminate.
- Selecteer Wachtwoord wijzigen.
- Stel het wachtwoord opnieuw in in het menu Snowflake.